📚 Витік у Aevo через помилку налаштування оракула ✅ Огляд У старому сейфі Ribbon Finance, інтегрованому в Aevo, через помилку оновлення налаштувань оракула відбулося витік коштів на суму приблизно 2,7 мільйона доларів. Це не було виснаження криптографії, а скоріше ланцюгове використання недоліків у управлінні правами та налаштуваннях розрахунку цін. Виявлено, як розбіжність між минулим проектом та новим оновленням призвела до фатального результату. ✅ Контекст інтеграції Ribbon у Aevo Ribbon Finance відомий як один із перших протоколів DeFi-опцій, який пізніше був інтегрований у Aevo. Ця інтеграція не означала припинення діяльності, а вирішення продовжувати використовувати існуючі сейфи як основну функцію Aevo. Тому старі сейфи все ще працюють на Ethereum, і кошти в них залишилися. ✅ Підстава проблеми – оновлення оракула У грудні 2025 року Aevo оновило налаштування оракула старого сейфа Ribbon. Оракул – це важливий механізм, який передає інформацію про ціни у смарт-контракти. Однак це оновлення призвело до того, що перевірка прав адміністратора була видалена, і будь-хто міг змінювати ціни та місце реалізації. Це було схоже на те, що ключ від сейфу залишився відкритим. ✅ Помилка прав і розбіжність у розрахунку цін Після оновлення оракул припускав 18-розрядні десяткові числа, але в сейфі залишалися старі активи з 8-розрядними десятковими числами. Ця різниця призвела до розбіжності в розрахунку цін, і зловмисники могли встановити ціни, значно вищі за справжні. Крім того, перевірка права власності оракула відбувалася лише за tx.origin (перший відправник транзакції), тому зловмисники могли вести себе як офіційні адміністратори, використовуючи певні гаманці. ✅ Хід атаки Зловмисники спочатку створили опційні продукти з неправильними умовами, а потім тимчасово замінили реалізацію оракула, щоб змінити ціни. У цих умовах, коли вони виконували oToken (токен, що представляє опцію), сейф вважав, що це правильна операція, і виплатив велику кількість WETH та USDC. Повторюючи цю операцію, сейф був зруйнований за короткий час. ✅ Переміщення та приховання коштів Витікнені кошти були розподілені між кількома гаманцями, а потім пересилані частинами. Це типова методика уникнення слідкування, і вважається, що вона передбачала використання міксерів. Також висловлюється припущення, що це була не дія одного особисто, а група з розподілом ролей. ✅ Відповідь Aevo та плутанина Після виявлення інциденту Aevo припинило роботу старого сейфа Ribbon. Спочатку вони запропонували варіант компенсації частини збитків, але пізніше відмовилися від цього, оскільки підстава була помилковою. В результаті користувачі, які вже здійснили виведення коштів, і ті, хто ще тримав кошти в сейфі, опинилися в різних ситуаціях. ✅ Навчальний момент цього випадку Ця проблема показує, що небезпечно не те, що смарт-контракти старі, а те, що код, який працює, може бути помилково вважатися непотрібним. Навіть якщо код позначено як deprecated (непропонований), він залишається цільовим для атак, якщо в ньому залишилися кошти та права. Виявилося, що ігнорування минулих концепцій проектування під час оновлень може зруйнувати роками здійснювані заходи безпеки за мить.